IT - Sicherheitsstandards 



• warum, wieso, weshalb? 

• und welche taugen wie fur was? 

• Uberblick uber die Standards: 

• BSI Grundschutz, 

• ISO 7799, 

• Common Criteria und 

• ITIL 
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IT Sicherheitsstandards - 

Inhalt 

• Warum Standards fur IT-Sicherheit? 

• Welche IT- Sicherheitsstandards gibt es? 

- Erlauterung und partieller Vergleich der einzelnen 
Standards: 

• BSI GSHB 

• Common Criteria 

• ITIL 

• BS 7799 

• Zusammenfassung und Fazit 
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Warum Standards fur IT- 

Sicherheit? 

• verschiedene Sicherheitsziele: 

• Verfugbarkeit 

• Vertraulichkeit 

• Integritat 

• Nicht-Abstreitbarkeit /Anonymitat 

• Komplexitat an Informationen, IT-Systemen, Applikationen, 
Usern, Rechten etc. 

— > gesucht: Leitfaden, Checkliste, Anhaltspunkt 

• = Standards als „eingedampfte" Erfahrungen, 
wiederverwendbar, allgemein anerkannt 

• fur IT-Sicherheit: ISMS = Information Security Management 
Systems 
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Einsatzgebiete von IT 
Sicherheitsstandards 



Design von IT- Systemen und Anwendungen, in denen 
Sicherheit von Vertraulichkeit bis Verfugbarkeit eine Rolle 
spielt 

Prufung und Bewertung von IT Sicherheit 

- als Eigencheck 

- als Zertifikat gegenuber Dritten 
Planung, Dokumentation, Kontrolle 
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Welche IT- 
Sicherheitsstandards gibt es? 



• detailliert Technik+Orga: BSI Grundschutzhandbuch 

• technisch abstrakt: Common Criteria 

• Betrieb / best practise: ITIL 

• nur Orga: BS 7799-2 

• sonst: Technical report 13335, Cobit etc. 
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Inhalt von IT- 
Sicherheitsstandards 



Technik: Applikationen, Betriebssystemen, Netzwerken, 
Hardware 

- BSI Grundschutzhandbuch 

- Common Criteria 

Organisation, Zustandigkeiten, Sicherheitsmanagemet 

- ITIL 

- BS 7799 

- BSI Grundschutzhandbuch 

nicht: Gesetze (TKUV, RegTP. Basel II, SOX etc.) 
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BSI IT-Grundschutzhandbuch 



• detailliert technisch und organisatorisch 

• keine Risikoabschatzung: GieBkannenprinzip in 

- Gefahrungskataloge und 

- MaRnahmenkataloge 

• wenig: Prozesse /Ablauf; besser bei ITIL (s.u.) 

• Technik und Orga 
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BSI IT-Grundschutzhandbuch 



• 1 Teil Einstieg 

• 2. Teil Bausteine: umfasst die Kapitel: 

- Ubergeordnete Komponenten 

- Infrastruktur 

- Nicht vernetzte Systeme und Clients 

- Vernetzte Systeme und Server 

- Datenubertragungseinrichtungen 

- Telekommunikation 

- Sonstige IT-Komponenten 

• http://www.bsi.bund.de/gshb/deutsch/index.htm 

• /home/mirror/ccc2004/vortragjtsecstandards/standardsitsec/bsi/deutsch/etc/inhalt.htm 
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BSI IT-Grundschutzhandbuch 



• Gefahrdungskataloge und MaGnahmenkataloge 

• wenig Bezug zwischen Gefahrdungen und MaBnahmen 

• Gefahrdungskataloge: 

- Hohere Gewalt 

- Organisatorische Mangel 

- Menschliche Fehlhandlungen 

- Technisches Versagen 

- Vorsatzliche Handlungen 
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BSI IT-Grundschutzhandbuch 



• MaBnahmenkataloge: 

- Infrastrukturelle MaBnahmen 

- Organisatorische MaBnahmen 

- Personelle MaBnahmen 

- MaBnahmen im Bereich Hard- und Software 

- MaBnahmen im Kommunikationbereich 

- NotfallvorsorgemaBnahmen 
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BSI IT-GSHB Beispiel Laptop 



• „Nicht vernetzte IT-Systeme /Client 

- Tragbarer PC": 

• Beschreibung: tragbarer PC 

- unter DOS? 

- Diskettenlaufwerk? 

- Vernetzung ist extra: Link auf Kapitel 7.2 Modem 

- leicht lesbar kontra teilweise nicht mehr ganz aktuell 

• Gefahrdungslage fur tragbaren PC 

• MaBnahmenempfehlungen fur tragbaren PC 

• /home/mirror/ccc2004/vortragjtsecstandards/standardsitsec/bsi/deutsch/b/53.htm 
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BSI IT-GSHB Beispiel G 4.1 



• Gefahrdung G 4.1 Ausfall der Stromversorgung 

- G = Gefahrdung 

- 4 = Technische 

- .1 = erste technische Gefahrdung 

- = Ausfall der Stromversorgung: 

- fehlt: passende MaBnahme dazu 

• /home/mirror/ccc2004/vortragjtsecstandards/standardsitsec/bsi/deutsch/g/g4000.h 
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BSI IT-GSHB 

Zusammenfassung 



technisch und organisatorisch 

detailliert: verstandlich, aber nicht immer aktuell 

keine Risikoabschatzung: GieBkannenprinzip in 

- Gefahrungskataloge und 

- MaGnahmenkataloge 

wenig: Prozesse /Ablauf; besser bei ITIL (s.u.) 
frei verfugbar 
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Common Criteria 



• Internationaler Standard, der Gemeinsame Kriterien fur die 
Prufung und Bewertung der Sicherheit in der 
Informationstechnik beschreibt 

• international. Weiterentw. von ITSEC, Orange Book 

• technisch abstrakt und damit 

• flexibel und technologieunabhangig 

• nicht: Orga und Recht 

• fur verschiedenen Schutzbedarf; mit Risikoanalyse 

• fur Spezifikation von IT-Sicherheitsanforderungen 

- als Teilmenge der Kriterien 

- Was soil geschutzt werden? 

• Security Target / Protection Profile 
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Common Criteria 



fur Spezifikation von IT-Sicherheitsanforderungen 

- als Teilmenge der Kriterien 

- Was soil geschutzt werden? 

• Security Target 

- = implementierungsabhange Menge von 
Sicherheitsanforderungen (Hersteller) 

• Protection Profile 

- = implementierungsunabhange Menge von 
Sicherheitsanforderungen (Anwender) 

- fur eine Kategorie von TOE 
Untersuchungsgegenstand = Target of Evaluation =TOE 
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Common Criteria 



• besteht aus drei Teilen: 

- I.Teil: Einfuhrung und Begriffe 

- 2.Teil: 11 funktionale Klassen 

- 3.Teil: Klassen der Vertrauenswurdigkeit 

• http://www.commoncriteria.de/it-sicherheit_deutsch/ccinfo.htm 
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Common Criteria - 2.Teil 



• 1 1 funktionale Klassen mit Abhangigkeiten: 

- Identifikation und Authentisierung FIA 

- Nicht-Abstreitbarkeit FCO 

- Privatheit FPR 

- Kryptographische Unterstutzung FCS 

- Schutz der Benutzerdaten FDP : Integritat und.. 

- Betriebsmittelnutzung FRU: „ und Verfugbarkeit 

- Kontrolle Benutzersitzung FTA 

- Trusted Path FTP 

- Schutz der Toe-Sicherheitsfunktionen FPT 

- Sicherheitsmanagement FMT 

- Sicherheitsprotokollierung FAU 
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Common Criteria - 2.Teil- 
Beispiel Klasse FDP_RIP 

Funktionale Klasse Data Protection (FDP) unter anderen mit 
den Familien: 

- Zugriffskontrollpolitik (FDP_ACC) 

- Export nach auBerhalb der TSF-Kontrolle (FDP ETC) 

- Import von auBerhalb der TSF_Kontrolle (FDPJTC) 

- Schutz der Benutzerdatenvertraulichkeit bei Inter-TSF- 
Transfer (FDPJJCT) 

- Schutz der Benutzerdatenintegritat bei Inter-TSF-Transfer 
(FDP_UCT) 

- Schutz bei erhalten gebliebene Informationen (FDP_RIP) 
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Common Criteria - 2.Teil- 
Beispiel Klasse FDP 

Schutz bei erhalten gebliebene Informationen (FDP RIP) 

- = geloschte Daten sollen nicht wiederhergestellt werden 

- „FDP_RIP.1 Teilweiser Schutz bei erhalten gebliebenen 
Informationen" 

- „ Die TSF mussen sicherstellen, dass der fruhere 
Informationsgehalt eines Betriebsmittels bei [ Auswahl: 
Zuteilung eines Betriebsmittels zu, Wiederfreigabe eines 
Betriebsmittels von] folgenden Objekten: [ Zuweisung: Liste 
der Objekte] nicht verfugbar ist. 

- oder: Wer malert? 

• Der, der auszieht oder der der in die Wohnung einzieht? 

- Steigerung: FDP_RIP. Vollstandiger Schutz bei erhalten 
gebliebenen Informationen 
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Common Criteria - 2.Teil- 
Beispiel Klasse FDP 

Schutz bei erhalten gebliebene Informationen (FDP_RIP) 

- „FDP_RIP.2 Vollstandiger Schutz bei erhalten gebliebenen 
Informationen" 

- „ Die TSF mussen sicherstellen, dass der fruhere 
Informationsgehalt eines Betriebsmittels bei [ Auswahl: 
Zuteilung eines Betriebsmittels zu, Wiederfreigabe eines 
Betriebsmittels von] alien Objekten nicht verfugbar ist. 

- ist hierarchisch zu: FDP RIP.1 



IT Security- und Technologieberatung Dipl. -Inform. Viola Brauer 



Common Criteria - 3.Teil 



• Vertrauen wird erreicht durch: 

• Analyse und Uberprufung von Prozessen 

• Uberprufung der Anwendung von Prozessen 

• Uberprufung Design - Umsetzung 

• Uberprufung Design - Anforderungen 

• Analyse der Dokumentationen 

• Funktionale Tests 

• Schwachstellentest (Pentests) 
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Common Criteria - 3.Teil 



• Vertrauenswurdigkeitsklassen (Vergleiche funktionale 
Klassen im Teil 2 der Common Criteria) mit Beispieien: 

• Configuration Management (ACM) - Versionshandiing 

• Delivery and Operation (ADO) - Integritat bei Auslieferung 

• Development Documentation (ADV)- weiche Anforderungen 

wurden umgesetzt 

• Guidance Documents (AGD) - fur User und Admins 

• Life-Cycle Support (ALC)- weiche Leute 

• Testing (ATE) — Testen, dass Anforderungen umgesetzt 

• Vulnerability Assessment (AVA) - Test auf Schwachsteiien 
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Common Criteria - 3.Teil 



• Es gibt 7 Evaluation Assurance Level (EAL): 

• EAL 1 = wenig getestet -> „etwas" Vertrauen 

• EAL 7 = viel getestet -> mehr Vertrauen 

• die EAL im einzelnen: 

• EAL 1 : functionally tested 

• EAL 2: structurally tested 

• EAL 3: methodically tested and checked 

• EAL 4: methodically designed, tested and reviewed 

• EAL 5: semiformally designed and tested 

• EAL 6: semiformally verified design and tested 

• EAL 7: formally verified design and tested 
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Common Criteria - 3.Teil 




• Vertrauenswurdigkeitsklassen und EAL: 

• Beispiel: Fur die Vertrauenswurdigkeitsklasse EAL 1 muss die 
Anforderungen in ACM_CAP.1 erfullt sein (CC Teil 3: S.65) 

• ACM = Klasse Configuration Management 

• CAP = Familie (in der Klasse ACM) Configuration management 
capabilitites 

• .1 heiBt: eindeutige Versionsnummer (S.69) = Anforderung 

• zum Vergleich fur EAL 3 muss ACM_CAP.3 erfullt sein (S.45): 

• ACM_CAP.3 = Authorisation Controls (S.70) 

• = eindeutige Versionsnummer 

• Configuration Management system, CM doku, configuration list, 
eindeutige Bezeichnung aller configuration items, etc. 

• kein unauthorisierter Zugriff (Integritat) 
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Common Criteria 
Zusammenfassung 

• Internationaler Standard 

• technisch abstrakt und damit 

• flexibel und technologieunabhangig 

• nicht: Orga und Recht 

• fur verschiedenen Schutzbedarf; mit Risikoanalyse 

• frei verfugbar 

• besteht aus drei Teilen: 

- I.Teil: Einfuhrung und Begriffe 

- 2.Teil: 11 funktionale Klassen 

- 3.Teil: Klassen der Vertrauenswurdigkeit 
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Best practise: ITIL 



• best practise fur Administration: 

• „Es soil laufen!"- Verfiigbarkeit 

• Einrichtung und Betrieb von IT-Service Management aus 
Dienstleistersicht: extern oder interne IT-Abteilung 

• Ziel: hohe Qualitat IT-Service und Kosteneffizienz 

• ITIL = IT Infrastructure Libary: Hardware, Software, 
Prozesse, Kommunikation, Dokumentation 

• ITIL Bucher, Training, Zertifizierung, Tools 

• Was, nicht wie, d.h. keine technischen Details 

• fur Service Level Agreements (SLA's) und OLA 
(Organisation Level Agreements (innerhalb einer Firma) 

• www.itil.org 
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ITIL: Beispiel 



• Problem die auftreten konnen, 

• zum Beispiel: bei 1.,2.,3. Level Support: 

• Kunde: „Aber ich kenn' doch den Menschen vom 3. Level 
Support, und wenn ich den gleich anrufe, geht das viel 
schneller." 

• ITIL = Erfahrungen 
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ITIL: Sets und Biicher 



• ITIL besteht aus Banden (sets) mit je einem oder mehreren 
Buchern: 

- IT Service Provision und IT Infrastructure Management 
Sets 

• Buch: „Service Support" 

• Buch: „Service Delivery" 

- Managers Set: Orga, Quality, Security Mgmt 

- Software Support Set: Sw Lifecycle Support 

- Computer Operations Set: Installation & Acceptance 

- Environmental Set: u.a Strom, Brandschutz 

- Business Perspective Set = f(Unternehmensziele) 
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ITIL: Service Support 



• ITIL Buch: „Service Support" 

- Incident Management 

- Service Desk: Nutzer, IT-Dienstleister 

- Problem Management 

- fur schwerwiegende allg. Falle > Change Mangement 

- Configuration Management 

- Configuration Items (CI) {Appl., Hw, Doku, Prozess} 

- CI's mit Abhangigkeiten in Configuration Management 
Database (CMDB) zusammengefaBt 

- Change Mangement 

- aus „Request for Change" 

- Anderungen testen und in CMDB speichern 

- Release Management 

- Versionierung und Verteilung von Sw (Lizenzen, Roll-out, 
Ruckgangigmachen) 
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ITIL: Service Delivery 




• ITIL Buch: „Service Delivery" 

- Service Level Management 

• in SLA Sicherheitsanforderungen -> Operation Level 
Agreements (Unterauftragnehmer) 

- Availability Management 

• Verfugbarkeit als Sicherheitsziel 

- Business Continuity Management 

• Notfallplanung 

- Capacity Management 

• Optimierung von IT Ressourcen 

- Financial Management 

• Kosten, Rechnung, mehr als Grundschutz? 
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ITIL: Managers Set: SecMgmt 




• ITIL besteht aus Banden (sets) mit je einem oder mehreren Buchern: 
- Managers Set: Orga, Quality, Security Mgmt 
• ITIL Security Management: 

- aus IT-Dienstleistersicht: -> SLA 

- SLA-> Sicherheitsanforderungen 

• -> PLANung von SicherheitsmaBnahmen 

• -> IMPLEMENT 

• -> EVALUATE durch Audits 

• -> MAINTAIN -Verbesserungen 

• REPORT von Dienstleister an Kunde 

• CONTROL zur Steuerung der Phasen 

- wie BSI GSHB nur Grundschutz 

- an BS 7799 angelehnt 
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ITIL Zusammenfassung 



• best practise fur Administration: 

• „Es soil laufen!"- Verfugbarkeit 

• Einrichtung und Betrieb von IT-Service Management 

• aus Dienstleistersicht 

• ITIL = IT Infrastructure Libary 

• Was, nicht wie, d.h. keine technischen Details 
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BS 7799 



• Information security management system (ISMS) - 
Specification with guidance for use 

• Teil 1: SicherheitsmaBnahmen = ISO 17799 „Code of 
practise for security management" (= best practise") 

• Teil 2: fur die Beurteilung eines ISMS -> Zertifizierung 

• nur Orga 
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BS 7799-1 = ISO 1 7799 



• BS 7799 Teil 1 : SicherheitsmaBnahmen = ISO 1 7799 
„Code of practise for security management" 

- Sicherheitspolitik an Unternehmenszielen orientieren 

- an Unternehmenskultur anpassen (Akzeptanz) 

- Unterstutzung durch das Top-Management 

- Sicherheitsanforderung, Risk Management 

- Review-Cycle: Messung, Kontrolle und Verbesserung 
von IT-SicherheitsmaBnahmen 
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BS 7799-1 = ISO 1 7799 




• 10 Gebiete -LTeil: 

- Security Policy: 

- Ruckendeckung vom Mgmt 

- Organizational Security: 

- Initiierung, Implementierung und Kontrolle von S.maBn. 

- Asset Classification and Control: 

- was schutzen? - Inventarisierung 

- Personel Security: 

- Awareness, Schulung 

- Physical and Environmental Security: 

- Sicherheitszonen, Gebaudeschutz 

- Communication and Operations Management: 

- Integritat und Verfugbarkeit von IT-Systemen & Infos 
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BS 7799-1 = ISO 1 7799 




• 10 Gebiete -2.Teil: 

- Access Control: 

- Zugangs- und Zutrittsberechtigung 

- Protokollierung 

- System Development and Maintenance: 

- Sicherheitsanforderungen bereits bei Systementwicklung 
beachten 

- Kryptographie fur Vertraulichkeit und Authentizitat 

- Business Continuity Management: 

- Verfugbarkeit 

- vor allem fur kritische Geschaftsprozesse 

- Compliance: 

- Einhaltung gesetzlicher Verpflichtungen 

- Einhaltung unternehmenseigener Regelungen 
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BS 7799-2 



• Inhalt BS 7799-2: 

• beschreibt Implementierung, Uberwachung, Prufung, 
Instandhaltung und Verbesserung eines ISMS 

• Ziel: dokumentiertes ISMS 

• 4 Aspekte: 

- Information security management system 

- Management responsibility 

- Management review of the ISMS 

- ISMS improvement 
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BS 7799-2 



• Inhalt BS 7799-2: 

• beschreibt Implementierung, Uberwachung, Prufung, 
Instandhaltung und Verbesserung eines ISMS 

• neben den 4 Aspekten: 

- Annex B: Guidance of use of the standard 

• Plan-Do-Check-Act (PDCA) 

• vgl ITIL: Plan-lmplement-Evaluate-Maintain 

- Plan including risk treatment 

- Do incl. resources, trainung and awareness 

- Check incl. learning from others and trend analysis 
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BS 7799 



• Information security management system (ISMS) - 
Specification with guidance for use 

• Teil 1: SicherheitsmaRnahmen = ISO 17799 

• nur Orga 
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andere Ansatze 



• Cobit: Control objectives for information and relates 
technology 

• ISO/IEC TC 68 „Banking and other financial services" 

• Technical Report (TR) 13569 Jnformation security 
Guidelines" 
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Zusammenfassung 



• BSIGSHB: 

- Orga+Technik 

- detailliert 

- ohne Risikoabschatzung (nur Grundschutz) 

• Common Criteria: 

- technisch, keine Orga 

- abstrakt und allgemein 

- Risikoabschatzung ->mit verschiedenen Schutzbedarf 

• ITIL: 

- de-facto-Standard fur Betrieb von IT- Infrastructur 

- Technik (was, nicht wie) + Orga 

- ohne Risikoabschatzung 

• BS 7799-2: 

- nur Orga 
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Weitere Infos: 




• BSI: http://www.bsi.de/literat/index.htm 

• Studie zu ISO-Normungsaktivitaten ISO/BPM: 
http://www.bsi.bund.de/literat/studien/gshb/ISO-BPM-Zertifizierung 

• BSI Grundschutzhandbuch: 
http://www.bsi.bund.de/gshb/deutsch/index.htm 

• Common Criteria: 

- http://www.bsi.de/cc/downcc21 .htm 

- http://www.commoncriteria.de/it-sicherheit_deutsch/index.php 

• ITIL: www.itil.org 

• BS 7799: http://www.secorvo.de/whitepapers/secorvo-wp10.pdf 
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Fazit 



• IT-Sicherheitsstandards sind Nachschlagewerke 

- -> Das Rad nicht neu erfinden! 

• nicht jedes passt fur alles: 

- ->uberlegen, was bezweckt werden soil! 

• pro: Standards sind „eingedampfte" Erfahrungen, 
wiederverwendbar, allgemein anerkannt 

• kontra: viele Standards sind komplexe Werke mit langer 
Einarbeitungszeit; setzen breites und tiefes IT-Wissen 
voraus 
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